id: Гость   вход   регистрация
текущее время 13:07 28/03/2024
Автор темы: Вий, тема открыта 24/12/2006 18:54 Печать
http://www.pgpru.com/Форум/UnixLike/ОтключениеЛишнихСлужб
создать
просмотр
ссылки

Отключение лишних служб


Скажите, как в Linux отключить работу лишних служб?
Например мне нужно отключить SSH.
Достаточно ли блокировать ее брандмауэром, или все таки лучше с точки зрения безопасности произвести ее отключение в корне?
Система ASP11.


 
На страницу: 1, 2 След.
Комментарии
— serzh (25/12/2006 04:32)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
Если она не нужна, то я бы отключал полностью.
— unknown (25/12/2006 08:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Обязательно отключите ВСЕ лишние службы.

При запуске netstat -pan --inet у Вас должно быть пусто для значения 0.0.0.0.

Посмотрите свой уровень запуска в /etc/inittab: # The default runlevel.

Зайдите в каталоги /etc/rc[default runlevel]d
и замените симлинки с опции S[номер сервиса][название сервиса]
на K[номер сервиса][название сервиса].

Посмотрите также что у Вас запускается в /etc/rcS.d

и в /etc/inetd.conf

Изучите назначение всех запускаемых сервисов. Проделайте все операции по их отключению вручную из консоли. Забудьте про использование "удобных и дружественных" графических утилит из KDE, Gnome и им подобных.

Перепишите стартовые скрипты для запуска X-сервера с опцией --nolisten-tcp.

Отключите демон печати и заупскайте его при необходимости вручную. Разберитесь во всех его настройках, запрещающих удалённое подключение или подключение от постороннего пользователя.

После потраченного времени убедитесь, насколько дырява система, установленная по умолчанию и насколько тщетны все Ваши попытки её защитить (потому что всё равно найдётся 1024 и 1 способ их обойти).
— spinore (25/12/2006 15:57)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Правда говоря, ssh – это единственная, кажись, служба, подключить которую предлагают в умолчальной установке OpenBSD. Для netbsd по умолчанию запущен только sendmail. Я его отключил :)
— unknown (25/12/2006 17:53)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Про OpenBSD речи не идёт – он ведь и отличается тем, что "Secure by default"?
— spinore (27/12/2006 19:41)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


По кр. мере они стремятся к этому.... :)
— SATtva (28/12/2006 15:56)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ещё можно зайти с другой стороны:
http://www.linuxfromscratch.org
— spinore (31/12/2006 16:51)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786

http://www.linuxfromscratch.org

Для этого есть Gentoo Linux, где и были воплощены все такие мечты
— dolboyob (15/02/2012 12:55, исправлен 15/02/2012 13:21)   профиль/связь   <#>
комментариев: 19   документов: 0   редакций: 0
Обязательно отключите ВСЕ лишние службы

unknown если не затруднит не могли бы Вы на досуге отметить для меня лишние демоны
p.s. машинка голая и выделена под relay то есть cups и bluetooth точно не понадобятся
а sudo и network-manager точно понадобятся :)
но назначение некоторых иных демонов для меня зело велика тайна есть :()




Отключение сервисов происходит исправлением символических ссылок в каталогах /etc/rc4.d и аналогичных

я так понимаю что это при default runlevel = 4 но у меня он равен 2 значит в /etc/rc[3-5].d мне править ничего не надо?



Отключите все ненужное, особенно то, что имеет Foreign Address 0.0.0.0:*

но все кроме tor'a да?



Посмотрите также что у Вас запускается ... и в /etc/inetd.conf

но у меня нет такого файла


.


у меня в /etc/X11/xinit/xinitrc


а в /etc/X11/xinit/xserverrc


это правильно?

— unknown (15/02/2012 14:31, исправлен 15/02/2012 14:34)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Найдите, какой командой искать принадлежность файлов к пакету и как смотреть описание пакета в вашем пакетном менеджере и это перестанет быть тайной.


Не надо. Раз вы туда всё равно не грузитесь.


тогда зачем там иксы вообще?


Если не знаете, что такое портмап — то он вам не нужен, остальное скорее всего тоже. Exim (или его аналоги) при локальной доставке должен работать и без запуска слушающего демона.


Кроме тора, ничего у вас сеть слушать не должно и это можно на такой машинке не просто отключить, а вообще снести под ноль. А на будущее, не ставить изначально.


P.S. Недавно думал, не закрыть ли этот раздел форума? А вместо него открыть другой — про Win и прочие альтернативные системы.

— spinore (15/02/2012 18:47)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
[offtopic]
— dolboyob (15/02/2012 18:50)   профиль/связь   <#>
комментариев: 19   документов: 0   редакций: 0
зачем там иксы вообще?
для серфинга в tor'е

не закрыть ли этот раздел форума? А вместо него открыть другой — про Win
[а меж строк кагбэ негодование] imho лучше добавить раздел 'маздай' [с вашего позволения добавлю опросик?]
— unknown (15/02/2012 20:37)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Разгребать форум в любом случае бессмысленно, просто всвязи с наступлением локального виндовскапца, пометить раздел как [Архив] и закрыть для создания новых тем (и продолжения старых тоже). Всё это (продолжать) обсуждать в общих ветках.
зачем там иксы вообще?

для серфинга в tor'е

Теперь понял. Просто думал, что
машинка голая и выделена под relay

означает сервер или роутер.
— Гость (05/04/2012 12:33)   <#>
в связи с наступлением локального виндовскапца


unknown, а никто больше "умных" вопросов про то, как сделать безопасным и анонимным Windows, не задает?!
Я раньше задавал, пока несколько лет назад не послушал Гуру, не снес винду и не начал осваивать никсы :)
P.S. Просто соскочив с винды, я особого внимания не обращал на наличие вендовопросов уже. Поэтому и спрашиваю.
— unknown (05/04/2012 12:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Проблема в том, что некому дать умные ответы на такие вопросы. А самих виндоспецифичных вопросов стало меньше, хотя и не исчезли совсем.
— Гость (09/04/2012 08:19)   <#>
Если как было исторически, то SATtva создал этот форум, когда винда была для него ещё актуальной. Большая часть участников групп пришла, уже будучи пользователями открытых систем (UNIX/Linux). Далее был только один виндовый всплеск — появление ntldr (2007-2008), но потом он подзабил на консультирование. Теперь по факту никто из ядра проекта не пользуется (и, пожалуй, даже не интересуется) win-системами, кроме изредка проскакивающего ntldr'а.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3